URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90281
[ Назад ]

Исходное сообщение
"Кластер squid."

Отправлено pilferst , 12-Ноя-10 13:04 
Поставлена задача сделать кластер из прокси серверов на основе squid. Сказано, сделано. Создал две виртуальные машину на esxi объединил их по carp в один IP адрес.  В DNS создал запись A для carp интерфейсов. Вел первую машину в домен, сделал авторизацию через керберос, все ок, тестовые юзеры ходят.  Не думаю ввел вторую машину в домен. И через нее авторизация по керберосу прошла удачно. НО при переключение на первую машину (на второй положил интерфейс carp0) авторизация по kerberos уже не проходила.
На первой машине
 wbinfo -t
checking the trust secret via RPC    calls failed

На второй машине

wbinfo -t
checking the trust secret via RPC calls succeeded

И тут я вспомнил, что в домене под одним именем может находиться 1 машина. А у меня получается, что под одним именем должны работать >1 машины.
Как можно разрешить данную ситуацию ?

Содержание

Сообщения в этом обсуждении
"Кластер squid."
Отправлено pavel_simple , 12-Ноя-10 13:33 
>[оверквотинг удален]
>

> На второй машине
>

>  wbinfo -t
> checking the trust secret via RPC calls succeeded
>

> И тут я вспомнил, что в домене под одним именем может находиться
> 1 машина. А у меня получается, что под одним именем должны
> работать >1 машины.
> Как можно разрешить данную ситуацию ?

хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти ключики на обе машины

только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
хотя возможно будет работать, в принципе в природе встречаются винды с более чем 1 ip адресом


"Кластер squid."
Отправлено pilferst , 12-Ноя-10 13:51 
>[оверквотинг удален]
>>
>> И тут я вспомнил, что в домене под одним именем может находиться
>> 1 машина. А у меня получается, что под одним именем должны
>> работать >1 машины.
>> Как можно разрешить данную ситуацию ?
> хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти
> ключики на обе машины
> только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
> хотя возможно будет работать, в принципе в природе встречаются винды с более
> чем 1 ip адресом

Авторизацию через kerberos сделал. А samba нужна для генерации keytab и для просмотра групп в AD



"Кластер squid."
Отправлено pavel_simple , 12-Ноя-10 14:02 
>[оверквотинг удален]
>>> 1 машина. А у меня получается, что под одним именем должны
>>> работать >1 машины.
>>> Как можно разрешить данную ситуацию ?
>> хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти
>> ключики на обе машины
>> только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
>> хотя возможно будет работать, в принципе в природе встречаются винды с более
>> чем 1 ip адресом
> Авторизацию через kerberos сделал. А samba нужна для генерации keytab и для
> просмотра групп в AD

точно? тот который  HTTP Negotiate authentication? тот который через gssapi?
тогда и самбы не стоило ставить, сгенерить ключики и всего делов.


"Кластер squid."
Отправлено Puk , 12-Ноя-10 13:48 
>[оверквотинг удален]
>
> На второй машине
>

>  wbinfo -t
> checking the trust secret via RPC calls succeeded
>

> И тут я вспомнил, что в домене под одним именем может находиться
> 1 машина. А у меня получается, что под одним именем должны
> работать >1 машины.
> Как можно разрешить данную ситуацию ?

Можно же каждую машину под своим именем ввести в домен.
А потом в днс-е прописать CNAME.


"Кластер squid."
Отправлено McLeod095 , 12-Ноя-10 14:47 
>[оверквотинг удален]
>>

>>  wbinfo -t
>> checking the trust secret via RPC calls succeeded
>>

>> И тут я вспомнил, что в домене под одним именем может находиться
>> 1 машина. А у меня получается, что под одним именем должны
>> работать >1 машины.
>> Как можно разрешить данную ситуацию ?
> Можно же каждую машину под своим именем ввести в домен.
> А потом в днс-е прописать CNAME.

Правильно говорит человек.
Каждую машину вводим под своим именем, например serv1 и serv1. А уже ip carp прописываем в днс например cluster_server. После чего именно к нему и обращаемся. Carp сам разрулит свою ситуацию ну а каждый сервак свою.
Во всяком случае аналогично поднимаются и все виндовые кластеры. После поднятия кластера в домене не появляется компьютер с таким именем а только запись в днс. (Хотя поднимал давно виндовые кластеры, могу немного путать)


"Кластер squid."
Отправлено pilferst , 12-Ноя-10 16:20 
>[оверквотинг удален]
>> Можно же каждую машину под своим именем ввести в домен.
>> А потом в днс-е прописать CNAME.
> Правильно говорит человек.
> Каждую машину вводим под своим именем, например serv1 и serv1. А уже
> ip carp прописываем в днс например cluster_server. После чего именно к
> нему и обращаемся. Carp сам разрулит свою ситуацию ну а каждый
> сервак свою.
> Во всяком случае аналогично поднимаются и все виндовые кластеры. После поднятия кластера
> в домене не появляется компьютер с таким именем а только запись
> в днс. (Хотя поднимал давно виндовые кластеры, могу немного путать)

Могу ошибаться, но для кербероса  нужно что бы запись в настройках прокси сервера клиента  совпадала с его hostname сервака, могу ошибаться. Если не прав поправьте пожалуйста.


"Кластер squid."
Отправлено Алексей , 09-Май-15 08:38 
На примере Ubuntu можно сначала одинаково настроить 2 прокси сервера. Цикл статей по настройке NTLM/Kerberos здесь: http://blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-u.../

Потом с помощью CARP повысить доступность и распределить нагрузку между двумя серверами: http://blog.it-kb.ru/2015/05/08/high-availability-proxy-serv.../